MS、11月の月例パッチを公開 - 悪用済み2件を含む脆弱性55件を修正

CVSS基本値がもっとも高い「9.0」と評価された脆弱性は、「Microsoft Virtual Machine Bus（VMBus）」においてリモートよりコードを実行されるおそれがある脆弱性「CVE-2021-26443」。重要度も「クリティカル（Critical）」と高い。

このほか「Microsoft Defender」の脆弱性「CVE-2021-42298」、「Chakraスクリプトエンジン」の脆弱性「CVE-2021-42279」、「リモートデスクトップクライアント」の脆弱性「CVE-2021-38666」、「Microsoft Dynamics 365」の脆弱性「CVE-2021-42316」の4件は重要度が「クリティカル（Critical）」とレーティングされている。

また「Microsoft Exchange Server」においてリモートよりコードを実行される脆弱性「CVE-2021-42321」、および「Microsoft Excel」のセキュリティ機能をバイパスされる脆弱性「CVE-2021-42292」については、広く公開されているものではないが、すでに悪用が確認されているという。CVSSv3基本値はそれぞれ「8.8」「7.8」となっており、同社は重要度をいずれも「重要（Important）」とした。

「RDP」における情報漏洩の脆弱性「CVE-2021-38631」「CVE-2021-41371」や「3Dビューア」においてリモートでコードを実行される脆弱性「CVE-2021-43208」「CVE-2021-43209」については、悪用は確認されていないものの、すでに公開されている。

今回のアップデートで修正された脆弱性は以下のとおり。

CVE-2021-3711
CVE-2021-26443
CVE-2021-26444
CVE-2021-36957
CVE-2021-38631
CVE-2021-38665
CVE-2021-38666
CVE-2021-40442
CVE-2021-41349
CVE-2021-41351
CVE-2021-41356
CVE-2021-41366
CVE-2021-41367
CVE-2021-41368
CVE-2021-41370
CVE-2021-41371
CVE-2021-41372
CVE-2021-41373
CVE-2021-41374
CVE-2021-41375
CVE-2021-41376
CVE-2021-41377
CVE-2021-41378
CVE-2021-41379
CVE-2021-42274
CVE-2021-42275
CVE-2021-42276
CVE-2021-42277
CVE-2021-42278
CVE-2021-42279
CVE-2021-42280
CVE-2021-42282
CVE-2021-42283
CVE-2021-42284
CVE-2021-42285
CVE-2021-42286
CVE-2021-42287
CVE-2021-42288
CVE-2021-42291
CVE-2021-42292
CVE-2021-42296
CVE-2021-42298
CVE-2021-42300
CVE-2021-42301
CVE-2021-42302
CVE-2021-42303
CVE-2021-42304
CVE-2021-42305
CVE-2021-42316
CVE-2021-42319
CVE-2021-42321
CVE-2021-42322
CVE-2021-42323
CVE-2021-43208
CVE-2021-43209

（Security NEXT - 2021/11/10 ） ツイート

PR

関連記事

サードパーティ製ソフトに起因する脆弱性7件を修正 - Atlassian
「MS Edge 124」がリリース、脆弱性17件を修正
「PAN-OS」脆弱性への攻撃、国内でも被害報告
「ClamAV」にクリティカルパッチ - サービス拒否の脆弱性など修正
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
WP向けメールマーケティングプラグインにSQLi脆弱性
HashiCorpのGo言語向けライブラリ「go-getter」に脆弱性